Android ransomware Lockdroid koristi dropper kao malveri za računare

Mobilni telefoni, 09.02.2017, 01:30 AM

Ozloglašeni ransomware Lockdroid dobio je novu funkciju, koja nije neobična za malvere za računare, ali nikada nije viđena kod ransomwarea za Android.

Nova verzija malvera dobila je dropper komponentu koja služi kao izviđač koji isporučuje odgovarajući payload - ransomware, u zavisnosti od inficiranog uređaja.

Dropperi su prisutni već godinama. Reč je o malverima male veličine koji imaju mali broj funkcija. Jedna od njih je inficiranje uređaja koga je dropper već inficirao, pošto najpre skenira lokalni sistem da bi na kraju preuzeo opasnije malvere.

Dropperi se koriste sa bankarskim trojancima, backdoor trojancima, trojancima za daljinski pristup (RAT), ransomwareima, u sajber špijunaži i APT kampanjama.

Na mobilnim uređajima dropperi se sve do nedavno nisu koristili često kao na računarima, sve dok pojedini autori malvera, kao što je napredni adware Humming Bad, nisu počeli da ih koriste.

Kada je u pitanju ransomware za Android, do sada nijedna familija nije koristila droppere. To se promenilo pre neki dan, kada su istraživači iz kompanije Symantec primetili da nova verzija ransomwarea Lockdroid koristi dropper.

Autori Lockdroida kriju dropper u Android aplikacijama koje se distribuiraju preko nezvaničnih prodavnica i preko linkova koji se šalju putem SMS poruka, kao i preko spam poruka na forumima.

Ako korisnik instalira neku od malicioznih aplikacija na telefonu, dropper obavlja proveru da li je telefon rootovan. Ako nije, on koristi dozvole koje je već dobio da bi zaključao ekran telefona i zatim od žrtve traži da plati. Plaćanje otkupnine se prikazuje na ekranu kao 2D bar kod.

Drugi scenario je sledeći: dropper komponenta Lockdroida je na rootovanom telefonu i traži administratorska prava od korisnika. Da bi ih dobio, korisniku se obećava da će dobiti pristup pornografskim snimcima.

Ako korisnik pristane, dropper će iskoristiti novi root pristup koji je dobio da bi preuzeo ransomware Lockdroid koji će se postaviti kao važna sistemska aplikacija.

Ransomware zaključava ekran onim istim 2D bar kodom, ali s obzirom da ransomware sada ima administratorska prava na rootovanom uređaju, ekran je skoro nemoguće otključati bez reinstaliranja operativnog sistema.

Problem je i što žrtvama treba drugi telefon da bi skenirale bar kod na inficiranom uređaju. Žrtve se radije odluče da reinstaliraju operativni sistem nego da pozajme od nekog telefon kojim bi skenirali bar kod, zbog straha da će neko videti zahtev za plaćanje ransomwarea koji ima pornografsku tematiku.

Proteklih nekoliko godina, Lockdroid je jedan od najaktivnijih ransomwarea, mada nije naročito uspešan.

Ipak, ovo nije prvi put da Lockdroid koristi nove tehnike da bi prevario korisnike. Ranije je koristio lažnu dugmad iznad pravih da bi mu žrtve dale administratorska prava na starijim verzijama Androida.